Security Control V2: Zarządzanie zasobami

Uwaga

Najbardziej aktualny test porównawczy zabezpieczeń platformy Azure jest dostępny tutaj.

Usługa Asset Management obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami platformy Azure. Obejmuje to zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami dla usług i zasobów (spis, śledzenie i poprawianie).

Aby wyświetlić odpowiednie wbudowane Azure Policy, zobacz Szczegóły wbudowanej inicjatywy zgodności z przepisami testu porównawczego zabezpieczeń platformy Azure: Zabezpieczenia sieciowe

AM-1: Upewnij się, że zespół ds. zabezpieczeń ma wgląd w ryzyko związane z elementami zawartości

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-1	1.1, 1.2	CM-8, PM-5

Upewnij się, że zespoły ds. zabezpieczeń mają przyznane uprawnienia Czytelnik zabezpieczeń w dzierżawie i subskrypcjach platformy Azure, aby mogły monitorować zagrożenia bezpieczeństwa przy użyciu Azure Security Center.

W zależności od struktury obowiązków zespołu ds. zabezpieczeń monitorowanie zagrożeń bezpieczeństwa może być obowiązkiem centralnego zespołu ds. zabezpieczeń lub lokalnego zespołu. Niemniej jednak informacje na temat zabezpieczeń i ryzyka muszą być zawsze agregowane centralnie w ramach danej organizacji.

Uprawnienia czytelnika zabezpieczeń mogą być stosowane szeroko do całej dzierżawy (główna grupa zarządzania) lub do zakresu w postaci grup zarządzania lub określonych subskrypcji.

Uwaga: Do uzyskania wglądu w obciążenia i usługi mogą być wymagane dodatkowe uprawnienia.

• Omówienie roli czytelnika zabezpieczeń

• Omówienie grup zarządzania platformy Azure

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia infrastruktury i punktu końcowego

• Zarządzanie zgodnością zabezpieczeń

AM-2: Upewnij się, że zespół ds. zabezpieczeń ma dostęp do spisu elementów zawartości i metadanych

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-2	1.1, 1.2, 1.4, 1.5, 9.1, 12.1	CM-8, PM-5

Upewnij się, że zespoły ds. zabezpieczeń mają dostęp do stale aktualizowanego spisu zasobów na platformie Azure. Zespoły ds. zabezpieczeń często potrzebują tego spisu, aby oszacować potencjalne zagrożenie w organizacji do pojawiających się zagrożeń i jako dane wejściowe w celu ciągłego ulepszania zabezpieczeń.

Funkcja spisu Azure Security Center i usługa Azure Resource Graph mogą wysyłać zapytania o wszystkie zasoby w subskrypcjach i odnajdywać je, w tym usługi platformy Azure, aplikacje i zasoby sieciowe.

Logicznie organizuj zasoby zgodnie z taksonomią organizacji przy użyciu tagów, a także innych metadanych na platformie Azure (Nazwa, Opis i Kategoria).

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

• zarządzanie spisem zasobów Azure Security Center

• Aby uzyskać więcej informacji na temat tagowania zasobów, zobacz przewodnik po decyzjach dotyczących nazewnictwa zasobów i tagowania

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia infrastruktury i punktu końcowego

• Zarządzanie zgodnością zabezpieczeń

AM-3: Używanie tylko zatwierdzonych usług platformy Azure

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-3	2.3, 2.4	CM-7, CM-8

Usługa Azure Policy pozwala przeprowadzić inspekcję i ograniczyć liczbę usług, które użytkownicy mogą aprowizować w danym środowisku. Usługa Azure Resource Graph umożliwia wykonywanie zapytań dotyczących zasobów i odnajdywanie ich w ramach subskrypcji. Za pomocą usługi Azure Monitor można tworzyć reguły wyzwalające alerty w przypadku wykrycia niezatwierdzonej usługi.

• Konfigurowanie Azure Policy i zarządzanie nimi

• Jak odmówić określonego typu zasobu za pomocą Azure Policy

• Jak tworzyć zapytania za pomocą eksploratora usługi Azure Resource Graph

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zarządzanie zgodnością zabezpieczeń

• Zarządzanie stanem bezpieczeństwa

ZZ-4: zapewnienie bezpieczeństwa zarządzania cyklem życia zasobów

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-4	2.3, 2.4, 2.5	CM-7, CM-8, CM-10, CM-11

Ustanów lub zaktualizuj zasady zabezpieczeń, które dotyczą procesów zarządzania cyklem życia zasobów w celu modyfikacji potencjalnie mających duży wpływ. Modyfikacje te obejmują zmiany w zakresie: dostawców tożsamości i dostępu, czułości danych, konfiguracji sieci i przypisywania uprawnień administracyjnych.

Usuń zasoby platformy Azure, gdy nie są już potrzebne.

• Usuwanie grupy zasobów i zasobów platformy Azure

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia infrastruktury i punktu końcowego

• Zarządzanie stanem bezpieczeństwa

• Zarządzanie zgodnością zabezpieczeń

AM-5: Ograniczanie możliwości interakcji użytkowników z usługą Azure Resource Manager

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-5	2.9	AC-3

Użyj Azure AD dostępu warunkowego, aby ograniczyć użytkownikom możliwość interakcji z usługą Azure Resource Manager przez skonfigurowanie opcji "Blokuj dostęp" dla aplikacji "Microsoft Azure Management".

• Jak skonfigurować dostęp warunkowy w celu blokowania dostępu do usługi Azure Resources Manager

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zarządzanie stanem bezpieczeństwa

• Zabezpieczenia infrastruktury i punktu końcowego

AM-6: Używaj tylko zatwierdzonych aplikacji w zasobach obliczeniowych

Identyfikator platformy Azure	Kontrolki CIS w wersji 7.1	Identyfikatory NIST SP 800-53 r4
AM-6	2.6, 2.7	AC-3, CM-7, CM-8, CM-10, CM-11

Upewnij się, że jest wykonywane tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

Użyj funkcji adaptacyjnego sterowania aplikacjami Azure Security Center, aby odnaleźć i wygenerować listę dozwolonych aplikacji. Możesz również użyć funkcji adaptacyjnego sterowania aplikacjami, aby upewnić się, że wykonywane jest tylko autoryzowane oprogramowanie, a wykonywanie wszystkich nieautoryzowanych programów na platformie Azure Virtual Machines jest zablokowane.

Użyj Azure Automation Śledzenie zmian i spis, aby zautomatyzować zbieranie informacji spisu z maszyn wirtualnych z systemem Windows i Linux. Nazwa oprogramowania, wersja, wydawca i czas odświeżania są dostępne w Azure Portal. Aby uzyskać datę instalacji oprogramowania i inne informacje, włącz diagnostykę na poziomie gościa i przekierowuj dzienniki zdarzeń systemu Windows do obszaru roboczego usługi Log Analytics.

W zależności od typu skryptów można użyć konfiguracji specyficznych dla systemu operacyjnego lub zasobów innych firm, aby ograniczyć użytkownikom możliwość wykonywania skryptów w zasobach obliczeniowych platformy Azure.

Możesz również użyć rozwiązania innej firmy do odnajdywania i identyfikowania niezatwierdzonego oprogramowania.

• Jak używać Azure Security Center adaptacyjnych kontrolek aplikacji

• Omówienie Azure Automation Śledzenie zmian i spis

• Jak kontrolować wykonywanie skryptów programu PowerShell w środowiskach systemu Windows

Odpowiedzialność: Klient

Uczestnicy projektu zabezpieczeń klientów (dowiedz się więcej):

• Zabezpieczenia infrastruktury i punktu końcowego

• Zarządzanie stanem bezpieczeństwa

• Zarządzanie zgodnością zabezpieczeń